Dans l’un et l’autre cas, la limitation de la responsabilité est un aspect fréquemment mis en exergue par les acteurs. Néanmoins, avant d’aborder cette question, il est opportun de régler celle de la qualification des acteurs des activités de traitement.
I. La qualification des acteurs des activités de traitement.
L’on peut distinguer les acteurs principaux des acteurs secondaires du traitement. La qualification desdits acteurs peut être opérée sur la base de la législation ou la réglementation, sur la base de la jurisprudence, y compris les délibérations d’autorités nationales de [1] et sur la base factuelle.
L’analyse in concreto est, ici, prise en compte même en présence d’un instrument contractuel.
A. La qualification des acteurs principaux du traitement.
Les acteurs principaux du traitement sont le responsable du traitement, le responsable du traitement conjoint, le responsable du traitement disjoint et le destinataire. Néanmoins, à la différence du responsable du traitement et du responsable du traitement conjoint, le responsable du traitement disjoint [2] et le destinataire mettent en œuvre le traitement non-conjointement avec le responsable du traitement, et deviennent ainsi eux-mêmes directement et de manière autonome des responsables du traitement à part entière [3].
1. La qualification législative et réglementaire des acteurs principaux du traitement.
Sur le plan législatif et réglementaire, le responsable du traitement, le responsable du traitement conjoint ou le responsable du traitement disjoint est la personne physique ou morale qui, seule ou conjointement, détermine les finalités et les moyens du traitement ou organise les modalités du transfert des données personnelles.
2. La qualification juridictionnelle des acteurs du traitement.
Sur le plan juridictionnel, est qualifiée responsable du traitement, la personne qui pose les actes ci-après : procède aux traitements, à des fins personnelles, en créant d’autres services soit sans aucune instruction du responsable du traitement en ce sens soit sans que ce dernier n’en ait connaissance [4] ; détermine de manière indépendante les finalités et les moyens du traitement nécessaires pour fournir un service [5] ; reçoit des demandes d’exercice du droit à l’oubli, communique aux moteurs de recherche, ou prend des mesures techniques et organisationnelles appropriées pour informer la personne concernée ou l’opérateur de services de communications électroniques de qui il a obtenu les données personnelles considérées [6]. En ce qui concerne le responsable du traitement conjoint, sa qualité est reconnue de facto lorsqu’il est la personne qui prend des décisions communes au regard des finalités et des moyens du traitement de manière générale [7] ou soit de manière particulière, rédige des documents clés tels qu’une directive relative à la gestion des données personnelles ; réalise des formations auprès du personnel, signe des contrats avec plusieurs entités tierces fournissant des outils essentiels au fonctionnement du service, ou gère des conséquences de la violation de données personnelles [8]. Le responsable du traitement conjoint peut aussi être la personne qui prend des décisions convergentes, complémentaires et nécessaires ayant un impact significatif sur la détermination des finalités et des moyens du traitement [9], administre à des degrés divers un dispositif de traitement de données à caractère personnel avec des responsabilités non équivalentes [10], ou procède à des opérations de cloud computing [11].
3. La méthode indicielle de la CNIL, qualificative des acteurs du traitement.
La doctrine de la CNIL [12] recourt à quatre indices pour identifier le responsable du traitement. Ainsi, le responsable du traitement sera la personne qui se présente sous son propre nom, sur la base de l’indice de la transparence. Il peut aussi être celui qui a le droit de donner des directives et instructions générales, en laissant expressément une grande autonomie à l’autre partie, sur la base de l’indice du niveau d’instruction. De même, est qualifié de responsable du traitement, celui qui ne s’intéresse pas à la façon dont le prestataire réalise ses prestations et la laisse libre d’utiliser les données comme bon lui semble, sur la base de l’indice du niveau de contrôle. Enfin, est responsable du traitement, celui qui impose et ne peut modifier les outils car le client n’a pas de compétences, ou l’outil ne fait pas l’objet d’un développement spécifique sur la base de l’indice de l’expertise.
B. La qualification des acteurs secondaires du traitement.
1. Le sous-traitant.
A titre d’acteurs secondaires du traitement, l’on peut citer le sous-traitant et le représentant du responsable du traitement. Les législations et réglementations qualifient de sous-traitant, la personne qui traite les données personnelles pour le compte du responsable du traitement ou du responsable du traitement conjoint. Sur le plan factuel, le sous-traitant est toute personne qui n’a pas de pouvoir de décision ou qui ne décide que des aspects pratiques de la mise en œuvre du traitement à l’instar du choix du matériel ou du logiciel, du choix de mesures de sécurité concrètes, etc. Sous les indices respectivement de la transparence, du niveau d’instruction, du niveau de contrôle et de liberté, et de l’expertise, la CNIL qualifie de sous-traitant, toute personne qui se présente sous le nom de son partenaire, travaille sous des instructions et directives très précises, est auditée et rend régulièrement des comptes, et utilise l’infrastructure technique de l’entité cliente pour réaliser sa prestation.
2. Le représentant du responsable du traitement.
Le représentant du responsable du traitement est la personne à qui les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement.
II. La clause limitative de responsabilité dans les interactions des acteurs du traitement des données personnelles.
Bien que les dispositions du Code civil français encadrent la responsabilité contractuelle et délictuelle, les acteurs du traitement des données personnelles peuvent soit vouloir en restreindre le champ et la force opératoires soit vouloir s’en exclure. D’où l’intérêt d’examiner la typologie des contrats et les règles générales de fonctionnement de la clause limitative de responsabilité d’une part, et la distribution de la responsabilité et les sanctions relatives à la limitation de la responsabilité des acteurs du traitement, d’autre part.
A. La typologie des contrats des acteurs du traitement et les règles de fonctionnement de la clause limitative de responsabilité.
1. La typologie des contrats des acteurs du traitement des données personnelles.
Trois types de contrats peuvent être mis en œuvre dans le cadre des relations des acteurs du traitement des données personnelles : le contrat de travail, le contrat d’entreprise et le contrat de mandat.
Les contrats concernant les personnes qui déterminent les finalités et les moyens du traitement - responsable du traitement, responsable du traitement conjoint et responsable disjoint - peuvent être soit un contrat-coopération soit un contrat-organisation soit un contrat-échange. Ces contrats permettent de régir le partage des obligations, missions et pouvoirs entre les acteurs de même niveau de responsabilité. Par ailleurs, il peut y avoir un contrat entre le responsable du traitement disjoint et la personne concernée dans le cadre de la portabilité des données personnelles.
Entre le responsable du traitement et son représentant ou son sous-traitant, avec le rapport ou le lien de subordination existant, les contrats idoines sont soit le contrat de travail soit le contrat de mandat pour tous les acteurs, d’une part, et pour le sous-traitant, le contrat de travail ne peut pas être adapté puisque le sous-traitant est un tier du responsable du traitement, d’autre part.
2. Les règles de fonctionnement de la clause limitative de responsabilité.
Quant aux règles de fonctionnement de la clause limitative de responsabilité, il faudrait distinguer entre son fondement et ses régimes. Ce qui inclut son objectif, ses fondements, ses domaines, les obligations y relatives, sa force probante et ses conditions de validité.
La clause limitative de responsabilité a vocation à circonscrire l’engagement de la responsabilité de son bénéficiaire. A ce titre, on peut en distinguer plusieurs types, et notamment celle qui limite ou détermine les cas de la responsabilité, celle qui est de nature pénale, celle qui exclut toute responsabilité, celle qui limite la réparation ou l’indemnisation, etc.
En ce qui concerne les fondements juridiques, la clause limitative de responsabilité est fondée sur le Code civil [13], pour le contrat entre professionnels, tandis que pour le contrat entre professionnel et consommateur, c’est le Code de la consommation [14] qui en donne le fondement. Ce qui nous permet de faire la distinction entre un acteur du traitement personne physique et un acteur du traitement personne morale, d’une part, et la distinction entre un acteur du secteur non marchand et celui du secteur marchand.
Pour ce qui est des domaines de ladite clause, sur le plan individuel, elle implique la personne physique du professionnel, s’il agit à ce titre, et la personne morale, agissante en qualité d’acteur du commerce électronique, le cas échéant. Le domaine matériel des obligations est étendu et peut concerner des activités diverses relatives au traitement des données et à la protection de la vie privée, notamment la réponse à l’exécution d’une obligation légale ou contractuelle, la délivrance d’une prestation, la livraison d’un bien ou service, l’exécution dans les délais, l’obligation de sécurité, les garanties légales, etc.
Quant à la nature des obligations, entre le responsable du traitement, personne morale, et la personne concernée, le premier est débiteur d’une obligation de résultats envers le second. Mais, dans le cas des interactions entre le responsable du traitement, le responsable du traitement conjoint, et/ou le sous-traitant, tous personnes morales, une autre distinction peut intervenir. Entre les acteurs du traitement vis-à-vis de la personne concernée, il s’agit tantôt d’une obligation de résultat pour ce qui concerne les aspects juridiques et organisationnelles tantôt d’une obligation de moyens pour les aspects techniques [15]. En tout état de cause, la clause limitative de responsabilité est opératoire sur les obligations de moyens, tandis qu’elle tend à avoir un simple rôle probatoire pour les fautes lourdes.
En principe, la clause exonératoire ou limitative de responsabilité est valide si elle a été portée à la connaissance de la personne à qui on l’oppose, et qu’elle l’a acceptée en toute connaissance de cause, sous réserve de la législation sur les clauses abusives, évidemment. Ladite clause est aussi transmissible, en principe, à tout acteur du traitement qui hérite du contrat ou de l’obligation, respectivement, dans lequel elle est insérée ou dont elle découle.
B. La distribution de la responsabilité et des sanctions de la clause limitative de responsabilité.
L’analyse se base fortement sur le lien de subordination pour déterminer les marges de manœuvre. Ainsi, la jurisprudence considère que pour le contrat de travail, il y a une présomption irréfragable du lien subordination [16], tandis que pour les contrats d’entreprise et de mandat, elle décide qu’il y a plutôt une présomption simple d’absence de lien de subordination [17].
1. La distribution de la responsabilité entre acteurs du traitement.
De manière générale, le responsable du traitement, le responsable du traitement conjoint ou le sous-traitant, lorsqu’il a la qualité de professionnel, peut être exonéré de responsabilité dès lors qu’il est établi la preuve de l’imputabilité, soit à la personne concernée pour inexécution ou mauvaise foi, soit à tout autre acteur du traitement, soit au fait imprévisible ou insurmontable, soit au cas de force majeure. En revanche, dans le contrat entre le responsable du traitement, le responsable du traitement conjoint et/ou le sous-traitant, c’est la responsabilité pour faute, de la part du professionnel débiteur de l’obligation considérée, qui est retenue. L’exonération ou l’atténuation de cette responsabilité pour faute est possible en cas de force majeure, le fait de la victime, le fait du tiers. Quant à la typologie des responsabilités, elle révèle que dans les deux cas, sont invariablement admises la responsabilité du fait personnel et la responsabilité du fait d’autrui mais, est exclue la responsabilité du fait de choses.
La jurisprudence estime que la clause limitative de responsabilité n’est pas opérante pour la personne qui a excédé les limites de sa mission [18]. C’est le cas lorsque l’on réalise des traitements sans autorisation, ou l’on réalise des traitements avec des finalités propres et personnelles, ou l’on réalise des traitements en dehors de ses fonctions et/ou sa qualité.
Sur le critère de la solidarité, le sous-traitant ou le représentant du responsable du traitement pourrait être, chacun, seul responsable des traitements réalisés en dehors de ses fonctions. A contrario, le responsable du traitement et tous les autres acteurs sont responsables lorsque le sous-traitant ou le représentant du responsable du traitement a réalisé des traitements en dehors de ses limites, mais dans le cadre de ses fonctions. Enfin, la clause n’est pas opérante pour une faute pénale intentionnelle, qu’elle ait été commise dans le cadre des fonctions ou non [19]. Dans ce dernier cas, tous le responsable du traitement, le responsable du traitement conjoint et le sous-traitant peuvent être, en principe, liés.
2. Les sanctions concernant la clause limitative de responsabilité.
Pour ce qui est de la sanction sur la clause elle-même, il est à relever que la clause limitative de responsabilité peut être soit autorisée soit jugée abusive. Si elle porte sur une faute légère, elle pourra être autorisée. Mais, la clause limitative de responsabilité est abusive, et donc nulle et réputée non écrite, dans les cas où elle est élusive de la responsabilité, elle est de nature pénale, elle est limitative de la réparation et de l’indemnisation, ou elle est en contradiction avec une obligation essentielle du contrat. En ce qui concerne le sort du contrat, il reste applicable dans toutes les dispositions autres que celles concernant la clause jugée abusive.
Les sanctions Les sanctions relatives à la clause limitative de responsabilité peuvent être administratives, civiles ou pénales, selon qu’elles relèvent respectivement des autorités de contrôle, des juridictions administratives classique ou des juridictions judiciaires. Les peines sont de natures différentes et peuvent être cumulées. De même, les sanctions peuvent être infligées de manière solidaire ou pas, indépendamment du fait que les contrats sont différents ou pas.
Les sanctions sont naturellement celles relatives à la protection des données à caractère personnel, qui sont constituées en même temps de peines non pécuniaires et d’amendes administratives [20]. On peut aussi avoir des sanctions civiles, y compris la réparation du préjudice civil. Enfin, il peut y avoir des sanctions pénales pécuniaires et/ou privatives de liberté.
L’imputabilité des sanctions pose d’abord le préalable de la notion d’entreprise, qui englobe, selon la jurisprudence communautaire européenne, toute entité ou groupe d’entités constituant une unité économique unique, indépendamment du statut juridique ou de son mode de financement [21].
Sur l’assiette de calcul de la sanction des entreprises [22], la base de calcul sera le chiffre d’affaires du groupe de sociétés dans le cas où la faute est commise par la société mère, dans le cas où l’infraction est commise par une filiale détenue en totalité par la société mère. En revanche, la base de calcul sera celle du chiffre d’affaires de la filiale si ladite filiale n’est pas détenue en totalité par la société mère ou si ladite filiale est autonome ou se comporte comme telle en s’affranchissant de la société-mère [23].
Ce qu’il faut retenir.
La question de la portée opératoire de la clause limitative de responsabilité entre les acteurs du traitement des données personnelles est impactée par un certain nombre de paramètres, notamment la nature des acteurs et leurs interactions, ainsi que les modalités y afférentes. De même, il a été mis en évidence le fait que la clause limitative de responsabilité est tributaire non pas d’une fonction ou d’une qualité de l’acteur, mais plutôt des missions, obligations et pouvoirs réels des acteurs. Par conséquent, y recourir ne garantit pas automatiquement son plein effet.
Discussions en cours :
Bonjour,
Cette qualification juridique n’étant pas expressément prévue par le RGPD, vous serait-il possible de préciser à quoi cela correspond ?
Vous mentionnez ce positionnement sans exposer de motivation/raisonnement juridique ce qui est regrettable.
Dans quels contrats et à quels moments un organisme devient responsable disjoint ? à dire vrai, j’ai eu l’impression que vous évoquiez le sous-traitant dont le statut est prévu au RGPD.
Je serai intéressée d’échanger avec vous sur ce point juridique qui me surprend.
Bien cordialement.
Me Anne-Laure CATHERINOT
Le responsable disjoint du traitement est un destinataire qui peut être liée au responsable du traitement par une exigence légale, par exemple l’obligation faite de communiquer certaines informations à l’administration des impôts, et dans ce cas l’administration des fiscale est responsable disjoint. Il peut aussi s’agir d’un cas où le responsable du traitement est lié à une autre personne par un contrat, mais entre les deux il n’y a pas d’obligations conjointes comme c’est le cas avec le responsable du traitement conjoint, dans ce cas la personne qui reçoit les données est responsable disjoint. Le responsable disjoint peut aussi être une personne qui reçoit les données par la volonté de la personne concernée, c’est le cas lorsque la personne concernée exerce son droit à la portabilité, et la personne chez qui les données sont transférées est responsable disjoint. Il ne peut pas non plus être confondu avec le sous-traitant parce que le sous-traitant est celui qui réalise des activités pour le compte du responsable du traitement. En tout état de cause, le responsable disjoint reçoit les données, mais soit il n’en partage pas la responsabilité du traitement avec le responsable du traitement (ce qui le différencie du responsable du traitement conjoint) soit il ne les traite pas non plus pour le compte du responsable du traitement (ce qui le différencie du représentant du responsable du traitement). Le responsable du traitement disjoint est donc un responsable du traitement autonome.